Hinsichtlich der Anwendbarkeit der DSGVO muss zwischen dem sog. räumlichen und dem sachlichen Anwendungsbereich unterschieden werden:
Räumlich gilt die DSGVO in der gesamten EU sowie dem EWR.
Nach dem Marktortprinzip gilt dies jedoch nicht nur für europäische Unternehmen, sondern auch für Unternehmen außerhalb der EU oder des EWR, die Ihre Dienste in der EU anbieten bzw. eine Niederlassung innerhalb der EU oder des EWR unterhalten und sich somit auch an den europäischen Markt richten.
Sachlich findet die DSGVO auf alle ganz oder teilweise automatisierten Verarbeitungen personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten Anwendung, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Das heißt die Grundsätze der DSGVO sind nicht nur bei der Verarbeitung personenbezogener Daten mit dem Computer zu beachten, sondern auch wenn es beispielsweise um analog geführte Personalakten oder Rechnungen geht.
Ausgenommen davon ist jedoch die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“. Dazu gehören beispielsweise Schriftwechsel und das Führen von Adressbüchern ebenso wie das Versenden von privaten Geburtstagseinladungen etc.